被監(jiān)管部門通報“挖礦”�,正確的應(yīng)對姿勢
2022年03月02日
今年以來,國家對“挖礦”行為的打擊力度逐步加大����,在全國范圍內(nèi)廣泛開展了對“挖礦”的整改。
2021.09
國家發(fā)展改革委等10部門聯(lián)合發(fā)布通知��,要求全面整治虛擬貨幣“挖礦”活動��,嚴(yán)禁以數(shù)據(jù)中心的名義開展虛擬貨幣“挖礦”活動�����。
2021.11
國家發(fā)展改革委舉行新聞發(fā)布會表示��,我國將以產(chǎn)業(yè)式集中式“挖礦”�����、國有單位涉及“挖礦”和比特幣“挖礦”為重點,全面整治虛擬貨幣“挖礦”活動���。
2021.12
海南��、陜西���、云南、浙江等地相繼出臺相關(guān)政策或披露專項整治情況����。今年以來,為實現(xiàn)虛擬幣挖礦“清零”目標(biāo)�����,已有15個省份開展針對虛擬幣“挖礦”的專項整治��。
在此背景下����,一輪輪的通報讓網(wǎng)絡(luò)管理者們頭大,如何才能通過“挖礦”處置���,建立長效能力��,下次類似事件不要狼狽應(yīng)對�����?
“挖礦”查詢的技術(shù)本質(zhì)
“挖礦”的查詢難么��?說起來還真不難����。
訪問了礦池或者虛擬貨幣服務(wù)器的目標(biāo)IP
針對這些情形���,我們可以從以下兩個方向入手:
1)威脅情報機(jī)制
這是一種常用的技術(shù)手段,各個威脅情報廠商有相對豐富的的礦機(jī)樣本���,用戶在使用中�����,只需在安全設(shè)備上開啟該功能進(jìn)行檢測即可�,這種方式適用于上面的前兩種形式。
2)流量識別機(jī)制
“挖礦”相關(guān)的流量�,也能夠視為是一種應(yīng)用協(xié)議。因此�,通過流量識別設(shè)備精準(zhǔn)的應(yīng)用識別能力,即可針對網(wǎng)絡(luò)中的“虛擬貨幣”協(xié)議直接識別�,快速發(fā)現(xiàn)“挖礦”行為,這種方式適用于上面的第三種形式�。
ps. 通報里通常包含很多有用的信息,包括時間���、目標(biāo)IP�����、域名等�,在查詢時候也不要忘記利用���。
上面的查詢方式�����,其實有一個點:查詢簡單方便��。但查詢的便捷是有前提的��,即網(wǎng)絡(luò)大數(shù)據(jù)技術(shù)能力的建設(shè)�。說白了,數(shù)據(jù)在手穩(wěn)如狗�����,需要的時候動動手指點下查詢就行�,才不至于病急亂投醫(yī)。
另外一個例子是最近討論火熱的Log4j2漏洞��,它的查詢也很簡單(當(dāng)然���,前提是保存了URL記錄):直接查詢URL關(guān)鍵字包含“jndi:”的記錄即可發(fā)現(xiàn)大量可疑線索�,供詳細(xì)分析��。
那么�����,如何建設(shè)這樣的大數(shù)據(jù)技術(shù)能力呢��?
網(wǎng)絡(luò)大數(shù)據(jù)技術(shù)能力建設(shè)
1)選擇合適的探針
簡單來說�����,探針是網(wǎng)絡(luò)大數(shù)據(jù)的起點�。探針設(shè)備提供的一手?jǐn)?shù)據(jù)完整、準(zhǔn)確與否����,都關(guān)系著最終的分析結(jié)果。
2)大數(shù)據(jù)分析技術(shù)
所謂“大數(shù)據(jù)”�,并非是大量數(shù)據(jù)的簡單堆砌,大數(shù)據(jù)的核心在于對數(shù)據(jù)的合理處理與分析�����。
網(wǎng)絡(luò)中的原始報文�,在經(jīng)過探針設(shè)備的處理后,對常見的數(shù)據(jù)類型進(jìn)行提取���,形成數(shù)據(jù)倉庫��。而分析設(shè)備在此基礎(chǔ)上�����,應(yīng)用各種統(tǒng)計�、分析工具進(jìn)行深加工,最終將我們所需的分析結(jié)果進(jìn)行呈現(xiàn)���。
3)針對異常的建模
在此之上�����,如何主動持續(xù)地分析發(fā)現(xiàn)新的異常線索呢���?下面的兩種建模方式值得我們選擇:
■已知中尋找異常
所謂大隱隱于市,異常的通信內(nèi)容隱蔽偽裝在常用協(xié)議中���,是很多惡意應(yīng)用的常用手段�。如果能對已經(jīng)識別的協(xié)議���,根據(jù)協(xié)議�����、目標(biāo)去向、域名�����、URL�����、DNS請求、用戶身份�����、地理位置��、UA等元數(shù)據(jù)�����,建立數(shù)據(jù)倉庫���,然后再根據(jù)它們的波動��、差分����、排序等統(tǒng)計規(guī)律尋找異常變化�����,最后對鎖定的異常變化會話數(shù)據(jù)進(jìn)行深度的原始數(shù)據(jù)分析,就可以找到很多問題的答案����。
■未知中排除正常
通常情況下,被識別引擎確定為未知的協(xié)議數(shù)據(jù)有三種:1)小眾協(xié)議��、2)已知協(xié)議數(shù)據(jù)的漏識別�����,以及3)廣泛使用的非正常協(xié)議����。可以利用同目標(biāo)其他識別結(jié)果的交叉校驗��,排除大量第二種情況���,然后再結(jié)合交叉地理位置����、使用頻度等情況�,剩余的1)和3)就會快速的浮出水面。1)和3)也分別是APT類未知威脅發(fā)現(xiàn)和黑產(chǎn)類未知威脅發(fā)現(xiàn)的重點分析目標(biāo)�����。
關(guān)于異常分析的更多信息���,可以參考我們之前發(fā)過的文章:網(wǎng)絡(luò)全量數(shù)據(jù)包抓取�����,是時候有第二種選擇�����。
正如在疫情期間��,人們的出行記錄�、接觸日志�、訪客登記等基礎(chǔ)信息變得尤為重要,這種收集所有可能的廣義數(shù)據(jù)的目的是實現(xiàn)大數(shù)據(jù)的分析預(yù)判�����,以及第一時間獲得疫情進(jìn)展�。而網(wǎng)絡(luò)安全亦是如此,網(wǎng)絡(luò)大數(shù)據(jù)技術(shù)能力的建設(shè)�����,能夠幫助網(wǎng)絡(luò)管理者對異常流量、威脅行為進(jìn)行分析����,預(yù)防安全事件的發(fā)生。
對于用戶來說����,核心在于建立好長效的網(wǎng)絡(luò)大數(shù)據(jù)收集、查詢�、建模的能力,威脅來臨就可以變成一個查詢?nèi)蝿?wù)���,而不是手忙腳亂去購買新的臨時設(shè)備應(yīng)急����。
如果您想排查“挖礦”等行為�����,或是對網(wǎng)絡(luò)大數(shù)據(jù)能力的建設(shè)有興趣��,江蘇國駿都可以為您提供相關(guān)的解決方案�����,您可以掃描下方的二維碼聯(lián)系我們。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價值
http://hbshty.cn/
免費(fèi)咨詢熱線:400-6776-989
關(guān)注公眾號
獲取免費(fèi)咨詢和安全服務(wù)
